2024-07-18 10:45 (목)
[MOSEC 2016-영상] iOS 10 베타버전 Jailbreak 성공 데모영상 최초 공개
상태바
[MOSEC 2016-영상] iOS 10 베타버전 Jailbreak 성공 데모영상 최초 공개
  • 길민권
  • 승인 2016.07.04 15:37
이 기사를 공유합니다

PanguTeam, 세계 최초로 iOS 10 베타버전 탈옥 성공
iOS 10 베타버전에 대한 제일브레이크(Jailbreak/탈옥) 성공데모가 세계 최초로 공개됐다. 7월 1일 중국 상하이에서 열린 MOSEC 2016에서 중국 유명 해커팀인 판구팀(PanguTeam)이 iOS 10 베타버전에 대한 탈옥 데모를 시연해 보여 세계적인 주목을 받고 있다.
 
PanguTeam은 이미 iOS 9.3.2 버전 등 iOS 대부분 버전에 대한 제일브레이크를 성공해 아이폰 해킹에 대한 국제적 명성을 갖고 있는 팀으로 유명하다. 여기에 이번에 iOS 10베타버전까지 제일브레이크를 성공시켜 팀의 가치를 더욱 높이고 있다. 판구팀 '슈하오(Xuhao)'와 '티엘레이(Tielei)'는 이번 컨퍼런스에서 2개의 데모시연을 보여줘 큰 박수를 받았다. 발표내용을 요약하면 다음과 같다.
 
MOSEC 2016에서 판구팀 발표는 iOS에서 폭넓게 사용되는 데이터 공유 채널인 IOSurface를 통한 펌웨어 공격에 대한 내용이었다. 그들은 IOSurface를 악용해 보안, 프라이버시 문제를 이끌어 낼 수 있음을 보여주며, 보안연구원들이 펌웨어 시큐리티에 더 큰 관심을 가져야 한다고 설명했다.
 
그들의 발표는 IOSurface에 대한 간단한 소개와 이에 대한 취약점 연구 히스토리로 시작되었다. 4개의 취약점 히스토리에서 눈길을 끌었던 내용은 iOS 10에서 발견된 planecnt 체크가 없어 발생하는 널포인터 이슈에 대한 내용이었다.


?판구팀 슈하오. MOSEC 2016 발표현장
 
판구팀 발표의 핵심은 IOS에서 동작하는 프로세서의 펌웨어에 대한 공격 벡터를 보여줌으로써 연구원들과 보안관리자에게 iOS에 포함되는 펌웨어에 대한 위험성을 알리는 것이었다. 그들은 IOSurface를 사용하는 커널에서 IOServeces를 연구해보던 과정에서 ISPCPU의 펌웨어가 IOSurface를 사용한다는 것을 확인하고 펌웨어 보안에 대한 연구를 관심을 갖고 연구를 시작했다.
 
iOS 기기는 SEP, Camera, GPU등 많은 프로세서들을 갖고 있다. 이중 카메라는 64비트 기기에 대해 AppleH6Camin, 32비트 기기에 대해 AppleH4CamIn이라는 커널 드라이버를 갖고 있고 펌웨어는 /System/Library/MediaCapture/H4ISP.mediacapture와 같이 유저랜드 프레임워크에 임베디드되거나 /System/Library/PrivateFrameworks/H6ISPervices.framework/adc-athena.bin.gz과 같이 압축되어있다.
 
iOS에서는 다양한 이유로 카메라 펌웨어를 위해 global IOSurface가 새로 만들어지는데 그들은 이것을 퍼징함으로써 취약점을 찾아낼 수 있었다. 이때 iOS8의 경우 AppleH4CamIn 커널 디바이스에 대해 컨테이너 앱이 global IOSurface를 찾음으로써 공유 펌웨어 버퍼를 얻을 수 있고, 커널에 임의의 펌웨어를 삽입할 수 있는 취약점이 존재했다. 특히 이때 펌웨어에는 코드 시그니처가 없고 카메라는 NX가 없어 공격이 용이했다고 한다. iOS9의 경우 ISPCPU펌웨어 버퍼가 global이 아닌 non global이 되었다. 그런데 컨테이너 외부에서 동작하는 앱이 AppleH4CamIn과 상호작용해 임의의 펌웨어를 로드할 수 있고 펌웨어가 유효한지 확인하는 과정이 없다는 것을 알아내었다. 이를 통해 그들은 이미 기간이 지난 조작된 ISP 펌웨어를 iOS9.3.2가 동작하는 iPhone4s에서 동작시킬 수 있었다.
 
이러한 공격들을 통해 공격자는 카메라 하드웨어를 손상시키거나 혹은 신뢰되지 않은 코드를 카메라에서 동작시키거나 커널을 공격하는 등의 행위가 가능하다고 판구팀은 설명했다. 참고로 AppleH6CamIn커널 디바이스에서는 펌웨어를 로딩할 때 SHA256체크가 추가되었다.
 
판구팀은 이번 발표에서 두 개의 데모를 선보였다. 첫번째 데모는 Global IOsurfaces에서 발생하는 프라이버시 이슈에 대한 내용이었다. 해당 내용은 이미 ISC컨퍼런스에서 발표된 내용으로 iOS 최신버전인 9.3.2에서 역시 사진에 대한 접근 등의 프라이버시 문제가 여전하다는 것을 데모에서 보여주었다.


?판구팀 티엘레이. MOSEC 2016 발표현장
 
두번째 데모는 발표 직후 많은 이들의 관심을 불러일으킨 iOS 10 beta의 jailbreak 시연 영상이었다. 그들은 영상을 통해 iOS 버전확인 및 Cydia등이 설치된 아이폰을 확인시켜주어 그들의 jailbreak성공을 증명했다. 이번 발표에서는 jailbreak에서 사용된 취약점에 대한 설명은 이루어지지 않았다. 취약점에 대한 설명과 jailbreak 공개는 오는 11월에 한국에서 열리는 POC2016에서 이루어질 예정이다.
 
데일리시큐는 MOSEC 2016 현장에서 이번 판구팀이 발표한 두 개의 데모를 영상으로 공개한다.

 
 
★정보보안 대표 미디어 데일리시큐!★
 
<중국 상하이=데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★